BlackBerry начала развертывать новую версию Android Marshmallow для смартфонов BlackBerry Priv, с номером сборки AAF518, которая приносит обновление безопасности на 5 июля.
Ежемесячно BlackBerry выпускает бюллетени безопасности для уведомления пользователей своих Android смартфонов о доступных исправлений безопасности, смотрите BlackBerry.com/bbsirt для полного списка ежемесячных бюллетеней.
Следующие уязвимости закрыты в этом обновлении:
Уязвимость удаленного выполнения кода в Mediaserver
Во время воспроизведения медиа-файла и обработки данных специально сформированного файла, уязвимость в MediaServer может позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода, как процесса Mediaserver.
Уязвимая функциональность является основной частью операционной системы, и есть несколько приложений, которые позволяют эксплуатировать эту уязвимость, в первую очередь MMS-браузер и воспроизведение медиа.
CVE-2016-2505
CVE-2016-2506
CVE-2016-2507
CVE-2016-2508
CVE-2016-3741
CVE-2016-3742
CVE-2016-3743
CVE-2016-2505
CVE-2016-2506
CVE-2016-2507
CVE-2016-2508
CVE-2016-3741
CVE-2016-3742
CVE-2016-3743
Уязвимость удаленного выполнения кода в OpenSSL и BoringSSL
Уязвимость удаленного выполнения кода в OpenSSL и BoringSSL может позволить злоумышленнику с помощью специально созданного файла вызвать повреждение памяти во время обработки файлов и данных.
CVE-2016-2108
Уязвимость удаленного выполнения кода в Bluetooth
Уязвимость удаленного выполнения кода в Bluetooth может позволить злоумышленнику выполнить произвольный код в процессе спаривания устройств.
CVE-2016-3744
Уязвимость повышения привилегий в Libpng
Уязвимость повышения привилегий в Libpng может позволить локальному вредоносному приложению выполнить произвольный код в контексте системных приложений.
CVE-2016-3751
Уязвимость повышения привилегий в Mediaserver
Уязвимость повышения привилегий в MediaServer может позволить локальному вредоносному приложению выполнить произвольный код в контексте системных приложений.
CVE-2016-3745
CVE-2016-3746
CVE-2016-3747
Уязвимость повышения привилегий в Sockets
Уязвимость повышения привилегий в Sockets может позволить локальному вредоносному приложению получить доступ к системным вызовам за пределами его уровня разрешений.
CVE-2016-3748
Уязвимость повышения привилегий в Framework API
Уязвимость повышения привилегий в Parcels Framework API может позволить локальному вредоносному приложению обойти защиту операционной системы, которая изолирует данные приложения от других приложений.
CVE-2016-3750
Уязвимость повышения привилегий в службе ChooserTarget
Уязвимость повышения привилегий в службе ChooserTarget может позволить локальному вредоносному приложению выполнить код в контексте другого приложения.
CVE-2016-3752
Уязвимость раскрытия информации в OpenSSL
Уязвимость раскрытия информации в OpenSSL может позволить удаленному злоумышленнику получить доступ к защищенным данным, обычно доступным только для локально установленных приложений, которые запрашивают разрешение.
CVE-2016-2107
Уязвимость отказ в обслуживании в Mediaserver
Уязвимость отказ в обслуживании в MediaServer может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание устройства или его перезагрузку.
CVE-2016-3754
CVE-2016-3755
CVE-2016-3756
Уязвимость повышения привилегий в LSOF
Уязвимость повышения привилегий в LSOF может позволить локальному вредоносному приложению выполнить произвольный код, который может привести к постоянному компромиссу устройства.
CVE-2016-3757
Уязвимость повышения привилегий в DexClassLoader
Уязвимость повышения привилегий в DexClassLoader может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса.
CVE-2016-3758
Уязвимость повышения привилегий в Framework API
Уязвимость повышения привилегий в Framework API может позволить локальному вредоносному приложению запросить разрешения для резервного копирования и перехватывать все данные резервного копирования.
CVE-2016-3759
Уязвимость повышения привилегий в Bluetooth
Уязвимость повышения привилегий в Bluetooth может позволить локальному злоумышленнику добавить проверенное устройство Bluetooth, которое будет сохраняться для основного пользователя.
CVE-2016-3760
Уязвимость повышения привилегий в NFC
Уязвимость повышения привилегий в NFC может позволить локальному вредоносному приложению, работающему в фоне, получить доступ к данным открытого приложения.
CVE-2016-3761
Уязвимость повышения привилегий в Sockets
Уязвимость повышения привилегий в Sockets может позволить локальному вредоносному приложению получить доступ к определенным типам сокетов и привести к выполнению произвольного кода в контексте ядра.
CVE-2016-3762
Уязвимость раскрытия информации в Proxy Auto-Config
Уязвимость раскрытия информации в компоненте Proxy Auto-Config может позволить приложению получить доступ к конфиденциальной информации.
CVE-2016-3763
Уязвимость раскрытия информации в Mediaserver
Уязвимость раскрытия информации в MediaServer может позволить локальному вредоносному приложению получить доступ к конфиденциальной информации.
CVE-2016-3764
CVE-2016-3765
Уязвимость отказ в обслуживании в Mediaserver
Уязвимость отказ в обслуживании в MediaServer может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание устройства или его перезагрузку.
CVE-2016-3766
Уязвимость повышения привилегий в Qualcomm GPU Driver
Уязвимость повышения привилегий в Qualcomm GPU Driver может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-2503
CVE-2016-2067
Уязвимость повышения привилегий в Qualcomm Performance Component
Уязвимость повышения привилегий в Qualcomm Performance Component может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-3768
Уязвимость повышения привилегий в ядре файловой системы
Повышение привилегий уязвимости в файле ядра системы может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-3775
Уязвимость повышения привилегий в драйвере USB
Уязвимость повышения привилегий в драйвере USB может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2015-8816
Уязвимость повышения привилегий в Qualcomm Components
Уязвимость повышения привилегий в Qualcomm Components может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2014-9801
Уязвимость повышения привилегий в Qualcomm USB Driver
Уязвимость повышения привилегий в Qualcomm USB Driver может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-2502
Уязвимость повышения привилегий в Qualcomm Camera Driver
Уязвимость повышения привилегий в Qualcomm Camera Driver может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-2501
Уязвимость повышения привилегий в ядре файловой системы
Уязвимость повышения привилегий в ядре файловой системы может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-3802
CVE-2016-3803
Уязвимость повышения привилегий в Qualcomm Sound Driver
Уязвимость повышения привилегий в Qualcomm Sound Driver может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-2068
Уязвимость повышения привилегий в в ядре
Уязвимость повышения привилегий в ядре может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2014-9803
Уязвимость раскрытия информации в компоненте Networking
Уязвимость раскрытия информации в компоненте Networking может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.
CVE-2016-3809
Уязвимость повышения привилегий в Kernel Video Driver
Уязвимость повышения привилегий в Kernel Video Driver может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-3811
Уязвимость раскрытия информации в компоненте Qualcomm USB Driver
Уязвимость раскрытия информации в компоненте Qualcomm USB Driver может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.
CVE-2016-3813
Уязвимость раскрытия информации в Kernel Teletype Driver
Уязвимость раскрытия информации в Kernel Teletype Driver может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.
CVE-2016-0723
Обновленная версия программного обеспечения доступна для смартфонов BlackBerry на базе Android, которые были приобретены в ShopBlackBerry.com. Обновление также будет доступно для устройств, купленных у других продавцов или операторов, в зависимости от их графиков развертывания.
Для того, чтобы определить, актуальность обновления безопасности перейдите в Настройки> О телефона. Посмотрите на уровень патча безопасности Android:
5 июля 2016.
Если ваш BlackBerry на Android смартфон не получил актуального обновления безопасности, пожалуйста, обратитесь к продавцу или оператору для обслуживания или получения информации о доступности релиза.
Обратите внимание:
Как BlackBerry Priv защищен от Root доступа
Без промедления: Обновления безопасности для BlackBerry Priv
Почему Android от BlackBerry обеспечивает большую безопасность
BlackBerry Priv: управление патчами для безопасности Android
Больше подробностей о новом устройстве BlackBerry на базе Android вы можете найти на нашем сайте в рубрике BlackBerry Priv. Информация о самых интересных приложениях для PRIV доступна в новой рубрике Программы для Android.
В России, вы можете купить BlackBerry Priv в нашем интернет магазине Store.BlackBerries.ru.